Hintergrund:
Seit seinem Inkrafttreten im Juli 2015 ändert und ergänzt das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme („IT-Sicherheitsgesetz“) als Artikelgesetz das BSI-Gesetz (BSI: Bundesamt für Sicherheit in der Informationstechnik), das Telemediengesetz, das Telekommunikationsgesetz sowie weitere Gesetze. Mit Blick auf die zunehmende Digitalisierung und das wachsende Ausmaß an Cyber-Angriffen sieht das BSI nunmehr Handlungsbedarf zur Erweiterung und Konkretisierung der bestehenden Gesetze.
Am 16. Dezember 2020 wurde daher die neue Fassung des IT-Sicherheitsgesetzes, das sogenannte „IT-Sicherheitsgesetz 2.0“ vom Kabinett der Bundesregierung beschlossen, das nach Freigabe durch den Bundesrat in Kraft gesetzt werden soll. Das BSI erwähnt in der Kabinettfassung des Gesetzes als aktuell zu bewältigende Herausforderungen explizit Sicherheitsvorfälle wie „WannaCry“, „Emotet“ und „Spectre“, bei denen Schadprogramme mittels Verschlüsselungen ganze Rechenzentren außer Gefecht setzten und in den Medien für großes Aufsehen sorgten.
Zu den wesentlichen Neuerungen:
Die Kernpunkte der Neuerungen des IT-Sicherheitsgesetzes sind:
- Stärkung des Verbraucherschutzes
- Stärkung der unternehmerischen Vorsorgepflichten
- Stärkung der staatlichen Schutzfunktion
- Stärkung des BSI
Die Branchen möglicher KRITIS-Betreiber (KRITIS: Kritische Infrastrukturen) wurden um „Infrastrukturen im besonderen öffentlichen Interesse“ (z. B. Rüstungsindustrie, Kulturbereiche, Medien) erweitert und die Anforderungen an bereits identifizierte KRITIS-Betreiber steigen.
Beispielsweise sind KRITIS-Betreiber künftig dazu verpflichtet, Systeme zur frühzeitigen Cyber-Angriffserkennung zu implementieren. Dazu könnten z. B. Security-information-and-event-management-Systeme (SIEM) mit geeigneten Parametern zur Überwachung des IT-Betriebs genutzt werden.
Darüber hinaus wurden die möglichen Bußgelder für Verstöße stark erhöht. Die Obergrenze für Bußgelder bei vorsätzlichen oder fahrlässigen Verstößen wurde dabei von 100.000 auf 2.000.000 Euro angehoben.
Das Gesetz stärkt auch die Befugnisse des BSI. So soll es künftig beispielsweise die Behebung von Sicherheitslücken bei KRITIS-Betreibern (insbesondere im Telekommunikationsbereich) anordnen dürfen.
Fazit:
Insgesamt wurde das IT-Sicherheitsgesetz hinsichtlich der zunehmenden Relevanz der Digitalisierung und Informationssicherheit erweitert. Dabei wurde v. a. das Spektrum der KRITIS-Betreiber (auch gerade außerhalb des Finanzsektors) stark erweitert. KRITIS-Betreiber werden insgesamt stärker in die Pflicht zur Wahrung der Schutzziele der Informationssicherheit genommen und die Befugnisse des zuständigen Bundesamtes wurden erweitert.
Handlungsbedarf:
- Prüfen Sie regelmäßig, ob Ihr Institut möglicherweise die KRITIS-Schwellenwerte überschreitet. Es besteht weiterhin eine Meldepflicht sowie die Pflicht, dem BSI einen Ansprechpartner zu stellen, sofern die entsprechenden Schwellenwerte überschritten werden.
- Falls Sie bei einem KRITIS-Betreiber tätig sind, prüfen Sie, ob die bisherigen und die neuen Anforderungen an KRITIS-Betreiber eingehalten werden. Die möglichen Bußgelder bei Verstößen wurden massiv erhöht!